Uma política de segurança de TI estabelece as regras sobre como os recursos de TI de uma organização podem ser usados. A política deve definir comportamentos aceitáveis e inaceitáveis, controlos de acesso e potenciais consequências da violação das regras.
Uma política de segurança de TI deve ser baseada nos objetivos de negócios, na política de segurança da informação e na estratégia de gerenciamento de riscos de uma organização. Ao delinear os controles de acesso e o uso aceitável, uma política de segurança de TI define a superfície de ataque digital corporativo e o nível de risco aceitável. A política de segurança de TI também estabelece uma base para a resposta a incidentes, definindo como os usuários podem ser monitorados e as ações que podem ser tomadas caso a política seja violada.
Solicite uma demo Uma estratégia para eficiência de segurança
O objetivo é definir claramente as regras e procedimentos para a utilização dos ativos corporativos. Isso inclui informações direcionadas aos usuários finais e à equipe de TI e segurança. As políticas de segurança de TI devem ser projetadas para identificar e abordar os riscos de segurança de TI de uma organização. Eles fazem isso abordando os três objetivos principais da segurança de TI (também chamada de tríade da CIA):
Esses três objetivos podem ser alcançados de diversas maneiras diferentes. Uma organização pode ter diversas políticas de segurança de TI direcionadas a diferentes públicos e abordando vários riscos e dispositivos.
Uma segurança de TI é um registro escrito das regras e políticas de segurança de TI de uma organização. Isso pode ser importante por vários motivos diferentes, incluindo:
As políticas de segurança de TI de uma organização devem ser projetadas para atender às necessidades do negócio. Podem ser uma política única e consolidada ou um conjunto de documentos que abordam diferentes questões.
Apesar disso, todas as políticas de segurança de TI das organizações devem conter determinadas informações importantes. Quer sejam documentos independentes ou seções de um documento maior, uma política corporativa de segurança de TI deve incluir o seguinte:
Além dessas políticas básicas, uma política de segurança de TI também pode incluir seções direcionadas às necessidades específicas de uma organização. Por exemplo, uma empresa pode precisar de políticas de Traga seu próprio dispositivo (BYOD) ou de trabalho remoto.
Ao escrever uma política de segurança de TI, um bom ponto de partida são as melhores práticas estabelecidas. Organizações como o SANS Institute publicaram modelos para políticas de segurança de TI.
Esses modelos podem então ser editados para atender às necessidades exclusivas de uma organização. Por exemplo, uma empresa pode precisar adicionar seções para abordar casos de uso exclusivos ou adaptar a linguagem para se adequar à cultura corporativa.
Uma política de segurança de TI deve ser um documento vivo. Deve ser revisado e atualizado regularmente para atender às necessidades crescentes do negócio.
Ao elaborar suas políticas de segurança de TI, considere os produtos e serviços da Check Point. Aprenda como apoiar e aplicar com eficiência sua política corporativa de segurança de TI lendo este whitepaper. Então, veja você mesmo o poder da plataforma de segurança integrada da Check Point com uma demogratuita.